龙空技术网

使用交换机拦截非法DHCP服务器,防止使用DHCP进行网络攻击

时光匆匆vlog 1265

前言:

现时大家对“linux关闭dhcp服务命令”都比较关怀,兄弟们都想要了解一些“linux关闭dhcp服务命令”的相关资讯。那么小编在网上搜集了一些关于“linux关闭dhcp服务命令””的相关内容,希望小伙伴们能喜欢,大家快快来学习一下吧!

拓扑

较复杂的网络环境会出现有意或者无意的非法DHCP服务器,导致局域网中的设备获取到之后又无法正常访问网络,并且还容易产生相应的网络完全问题,这里使用交换机的DHCP Snooping信任功能来拦截非法的DHCP分配信息。

基本配置,AR1,用来模拟非法的DHCP Server

The device is running!<Huawei>system-view #进入系统视图Enter system view, return user view with Ctrl+Z.[Huawei]sysname AR1 #修改设备名称[AR1]undo info-center enable #关闭信息中心提示Info: Information center is disabled.[AR1]dhcp enable #开启dhcp功能Info: The operation may take a few seconds. Please wait for a moment.done.[AR1]interface GigabitEthernet 0/0/0 #进入端口0/0/0[AR1-GigabitEthernet0/0/0]ip address 10.1.1.1 24 #配置IP地址及子网掩码[AR1-GigabitEthernet0/0/0]dhcp  select interface #dhcp分配方式为端口[AR1-GigabitEthernet0/0/0]quit #退出端口[AR1]
基本配置,AR2,用来的DHCP Server,给内部网络设备分配IP地址
The device is running!<Huawei>system-view #进入系统视图Enter system view, return user view with Ctrl+Z.[Huawei]sysname AR2 #修改设备名称[AR2]undo info-center enable #关闭信息中心提示Info: Information center is disabled.[AR2]dhcp enable #开启dhcp功能Info: The operation may take a few seconds. Please wait for a moment.done.[AR2]interface  GigabitEthernet 0/0/0 #进入端口0/0/0[AR2-GigabitEthernet0/0/0]ip address 10.2.2.1 24 #配置IP地址及子网掩码[AR2-GigabitEthernet0/0/0]dhcp select interface #dhcp分配方式为端口[AR2-GigabitEthernet0/0/0]quit #退出端口[AR2]

基本的网络我们就配置完成了,将PC1和PC2的IP获取方式改为DHCP,查看下获取到的IP地址是有AR1分配的IP地址

然后在交换机上配置下,开启连接AR2端口的DHCPsnooping信任功能

The device is running!<Huawei>system-view #进入系统视图Enter system view, return user view with Ctrl+Z.[Huawei]sysname SW #修改设备名称[SW]undo info-center enable #关闭信息中心提示Info: Information center is disabled.[SW]dhcp enable #开启dhcp功能Info: The operation may take a few seconds. Please wait for a moment.done.[SW]dhcp snooping enable #开启全局dhcp信任功能[SW]interface  GigabitEthernet 0/0/3 #进入端口0/0/3 ,连接PC1的[SW-GigabitEthernet0/0/3]dhcp snooping enable #在端口上也开启dhcp信任功能[SW-GigabitEthernet0/0/3]quit	#退出端口[SW]interface  GigabitEthernet 0/0/4 #进入端口0/0/4 ,连接PC2的[SW-GigabitEthernet0/0/4]dhcp snooping enable  #在端口上也开启dhcp信任功能[SW-GigabitEthernet0/0/4]quit #退出端口[SW]interface  GigabitEthernet 0/0/2 #进入端口0/0/2[SW-GigabitEthernet0/0/2]dhcp snooping trusted #修改dhcp信任状态[SW-GigabitEthernet0/0/2]quit #退出端口[SW]

这样,我们就可以让交换机拦截非信任端口上的DHCP服务器了,查看下PC1和PC2重新获取到AR2分配的IP地址。(因为ensp的PC没有release命令,这里就关了重新开启)

PC1

PC2

很简单有效的一个小功能

最后#谢谢#

#华为#

#头条#

DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。

标签: #linux关闭dhcp服务命令